Seguridad Informática Introducción al Ethical Hacking
-
Upload
independent -
Category
Documents
-
view
0 -
download
0
Transcript of Seguridad Informática Introducción al Ethical Hacking
Seguridad Informática
Federico Pacheco
@FedeQuark
www.federicopacheco.com.ar
Introducción al Ethical Hacking
Copyright Entropy Security
Contenidos
• Las evaluaciones de seguridad
• El hacker ético
• Metodología de ataque
• Entregables
Copyright Entropy Security
Seguridad en empresas y organizaciones
• La seguridad de la información es un aspecto de negocios $
• Requiere la implementación de un sistema de gestión de la seguridad
• Requiere la contratación de personal especializado
• Debe incluir evaluaciones internas y externas
Copyright Entropy Security
La evaluaciones de la seguridad
• Permiten conocer el nivel de seguridad de una organización
– Deben realizarse con periodicidad
– Deben contar con la debida autorización legal
• Motivaciones
– Cumplimiento de leyes, regulaciones y normativas
– Identificación de puntos débiles y vulnerabilidades
– Obtención de información para la gestión de la seguridad
• Ejecución y contratación (Ethical Hackers)
– Personal especializado
– Consultoras externas
– Profesionales independientes
Copyright Entropy Security
Tipos de evaluaciones
• Sobre sistemas y redes
– Vulnerability assessment
– Penetration test
– Auditoría informática
• Sobre software
– Testing de aplicaciones
– Auditoría de código fuente
Copyright Entropy Security
Clasificación según conocimiento
White Box
• Total conocimiento
Gray Box
• Parcial conocimiento
Black Box
• Sin conocimiento
Copyright Entropy Security
Hackers: ¿héroes o villanos?
White Hat
(Ethical Hacker)
Grey Hat
y
Hacktivistas
Black Hat
(Cracker)
Copyright Entropy Security
El Hacker Ético – Rol
• Simular acciones de un ataque real
– ¿A qué puede acceder un intruso?
– ¿Que podría hacer con la información?
– ¿Puede ser notada una intrusión?
• Información necesaria
– Qué se intenta proteger
– Contra quién se protege
– Con qué recursos se cuenta
Copyright Entropy Security
El Hacker Etico – Perfil
• Experto en informática
– Software
– Hardware y electrónica
– Redes y telecomunicaciones
– Programación
– Investigación de vulnerabilidades
• Técnicas de seguridad
• Habilidades sociales
• Código de conducta estricto
• Paciencia y perseverancia
Copyright Entropy Security
Áreas de Explotación
Sistemas Operativos
Aplicaciones
Código propio Configuraciones
Copyright Entropy Security
Clasificación de ataques
Por actividad
Activos
Pasivos
Por ubicación
Internos
Externos
Por naturaleza
Técnico
No técnico
Copyright Entropy Security
Metodología de Ethical Hacking – Fases
Reconocimiento
Escaneo y enumeración
Acceso
Mantenimiento
Eliminación de rastros
Copyright Entropy Security
Metodología de EH – Tipos de escaneo
• Escaneo de Red
– Determinación de equipos activos y direcciones IP
– Detección de sistemas operativos y servicios
• Escaneo de Puertos
– Determinación de puertos TCP/UDP abiertos
– Detección de aplicaciones instaladas
• Escaneo de Vulnerabilidades
– Determinación de la existencia de vulnerabilidades conocidas
Copyright Entropy Security
Ethical Hacking – Proceso completo
Presentar el resultado al cliente (Reporte / Workshop)
Analizar resultados y elaborar los reportes
Llevar adelante el test
Preparar el equipo y establecer agenda
Preparar y firmar un NDA
Discutir con el cliente necesidades y expectativas
Copyright Entropy Security
Entregables
• Informe
– Características
• Calidad de confidencial
• Impreso y digital
– Contenido
• Información General
• Resumen ejecutivo
• Indice de riesgos
• Detalle pruebas realizadas
• Resultados obtenidos
• Vulnerabilidades identificadas
• Recomendaciones
• Detalle de herramientas y técnicas usadas
• Clasificación de problemas según nivel de riesgo
• Workshop (opcional)
– Presentación personalizada de los resultados
– Discusión sobre problemas y soluciones
– Asesoramiento de las alternativas de solución
Copyright Entropy Security
Resumen y conclusiones
• Las evaluaciones de seguridad deben incluirse en toda organización
• El ethical hacking supone la simulación de ataques reales
• El ethical hacker es un profesional de seguridad que se rige por un código de ética
• Existen metodologías y técnicas para realizar pruebas de seguridad
• El informe final representa el trabajo realizado y es de suma importancia